ubuntuusers.de

noisefloor schrieb:

[…] der Kern des Artikels ist halt: alt.

Aber auch in 2022 immer noch richtig bis auf den einen bereits von DJKUhpisse bemängelten Satz, dessen Fehlerpotential ich dann aufgezeigt habe.

Der stammt aus den Anfängen des Wikis und einer Zeit, wo man unter Windows tunlichst eine Firewall installieren wollte

Diese von Windows motivierten und bereits damals, als diese Mode aufkam, auch bei Windows meist unsinnigen "Personal Firewalls" schützen nämlich den Rechner, auf dem sie laufen, in keinem Fall gegen Angriffe von außerhalb des Rechners. In jedem Fall ist die Abschaltung nicht erwünschter und nicht benötigter Netzwerkdienste sinnvoller und wirksamer als das Schlangenöl "Personal Firewall". Und das war schon immer so und des gilt unabhängig vom Betriebssystem, also sogar unter Windows.

Eine "Personal Firewall" ist nur für diesen Aspekten sinnvoll:

1. Man kann einen unerwünschten bzw. nicht benötigten Netzwerkdienst nicht abschalten und blockiert diesen dann ersatzweise durch eine eingangsseitige Filterregel.

2. Man will verhindern, dass das Betriebssystem oder eine Anwendungssoftware „nach Hause telefoniert“ und blockiert so etwas durch ausgangsseitige Filterregeln.

[…] Ob man das ganze noch "Personal Firewalls" nennen sollte / muss weiß ich noch nicht.

Ja, doch: Das ist der für diese Konstrukte eingeführte und zutreffende Begriff.

Abgesehen davon hat Ubuntu ja inzwischen ootb ein Firewall an Bord, ufw.

Ubuntu bzw. Linux konnte das schon immer. Es gibt im Kernel ab Version 2.4 die Komponente Netfilter, vorher gab es Ipchains im Linux Kernel ab 2.2, davor IPfwadm ab Version ab 2.0 und davor ab Version 1.0 einen von ipfw aus BSD abstammenden Vorgänger. ufw ist nur ein Aufsatz, welches dem Benutzer eine (aus meiner Sicht unnötig komplizierte) bestimmte Denkweise aufnötigt.

Also mache mir bitte eine Baustelle.

kB schrieb:

Eine "Personal Firewall" ist nur für diesen Aspekten sinnvoll:

1. Man kann einen unerwünschten bzw. nicht benötigten Netzwerkdienst nicht abschalten und blockiert diesen dann ersatzweise durch eine eingangsseitige Filterregel.

BTW: Wenn dieser unerwünschte Netzwerkdienst "hole punching" (oder gleichwertig) beherrscht, dann wird man ihn mit einer eingangsseitigen Filterregel nicht blockieren können.

Hallo,

Baustelle ist eingerichtet.

Ubuntu bzw. Linux konnte das schon immer.

Klar, keine Frage. Der Unterschied ist halt, dass nicht "jeder" dazu in der Lage ist, eine Filterregel mittels iptables & Co zu schreiben, während das mittels einer "high level firewall" à la ufw schon machbarer ist. Ob das der Weisheit letzter Schluss ist ist ein eigenes Thema 😉

Apropos Firewalls und (Paket-) Filter: es gibt im Wiki noch keine Artikel zum Thema BPF... ☺

Gruß, noisefloor

Also "Personal Firewalls" wie sie zur Zeit der Entstehung des Artikels "verkauft" wurden, haben dem Nutzer doch durch Blink-Blink-GUI vor allem fälschlich vorgegaukelt unerwünschten Netzwerkausgang kontrollieren zu können. Wer zu der Zeit Windows genutzt hat, wird sich an penetrant blinkende Warnungen der Art:

svchost.exe möchte auf das Netzwerk zugreifen

Zulassen? Blockieren?

erinnern.

Es wurde dem Nutzer damit vorgegaukelt, dass man so auch Schadsoftware darin hindern könnte, nach außen Kontakt aufzunehmen. Installiert man aber eine Anwendung mit vollen Admin-Rechten, dann kann dem gesamten System und damit auch darauf laufender Software im Zweifel nicht mehr getraut werden.

IMO beziehen die klassischen "Personal Firewalls" insbesondere aus diesem Umstand heraus das Prädikat "Schlangenöl".

LG, Newubunti

noisefloor schrieb:

[…] Baustelle ist eingerichtet.

Entwindofiziert, bemängelte missverständliche Formulierung richtig gestellt (hoffentlich nicht zu technisch), leicht ergänzt und Typos bereinigt.

→ → → Kann m.E. wieder so ins Wiki.

Falls jemand einen Ersatz für das veraltete Zenmap kennt, könnte man dies noch ändern, auch im Artikel nmap.

[…] nicht "jeder" dazu in der Lage ist, eine Filterregel mittels iptables & Co zu schreiben, während das mittels einer "high level firewall" à la ufw schon machbarer ist. Ob das der Weisheit letzter Schluss ist ist ein eigenes Thema 😉

Das halte ich für einen Trugschluss. Zwar erscheint mir der Wunsch nach Abstraktion durchaus valide, aber ufw nötigt hierbei seinem Bediener sein eigenes nicht triviales Kategorienschema auf und liefert m.E. damit die erhoffte Vereinfachung nur scheinbar. Der Aufwand, dieses zu erlernen erscheint mir größer als sich in iptables einzuarbeiten. Sobald man etwas machen möchte, was in ufw nicht vorgesehen ist, landet man in einem komplizierten Gestrüpp von Regelblöcken und Sprung-Anweisungen. Ich persönlich mag deshalb ufw gar nicht aber jeder mag sich seine eigene Hölle erschaffen. (Oder: Wenn schon Schlangenöl, dann doch bitte das echte, unverdünnte und hochgradig wirksame anstatt eines verwässerten Aufgusses!)

Apropos Firewalls und (Paket-) Filter: es gibt im Wiki noch keine Artikel zum Thema BPF...

Spannendes Thema, aber momentan unerreichbar.

Hallo,

kB schrieb:

Apropos Firewalls und (Paket-) Filter: es gibt im Wiki noch keine Artikel zum Thema BPF...

Spannendes Thema, aber momentan unerreichbar.

Yup. Hatte auch mal angefangen, mich da einzulesen - aber das ist für normale Desktop-Nutzer (wie mich) schon alles ziemlich abgefahren.

Wenn sich in den kommenden Tagen niemand meldet kommt der Artikel wieder ins Wiki.

Gruß, noisefloor

Also vorweg: Auf jeden Fall eine Verbesserung!

Aber ein Frage habe ich noch - Abschnitt "Sicheres Design":

Ein Paketfilter kann den Schutz des Rechners hier nur dann verbessern, wenn man auf diese Dienste verzichtet. Dies ist aber besser zu erreichen, indem man diese Dienste erst gar nicht startet bzw. deren automatischen Start im Betriebssystem deaktiviert.

Da bin ich nicht ganz einverstanden mit. Weiter unten unter "Wann ist ein Paketfilter doch sinnvoll?" steht es dann IMO dann richtig:

Richtig sinnvoll auf einem Einzelplatzrechner ist ein Paketfilter nur, wenn man nicht die Ports, sondern die Herkunft der Pakete einschränken will.

Und in diesem Kontext ist IMO ein Paketfilter auch im LAN immer sinnvoll bzw. kann er dort sinnvoll sein. Wie gesagt auch vor dem Hintergrund, dass ein LAN heute aus einem ganzen Zoo von Geräten bestehen kann. Dieser Aspekt fehlt aber IMO bei der Formulierung im Abschnitt "Sicheres Design".

Zum Abschnitt "Unsichtbar machen":

Dort steht noch der IMO fälschliche Satz:

Ein System, das keine Ports offen hat, wie ein Standard-Ubuntu-Desktop, hat keinen einzigen Grund, "unsichtbar" zu sein.

Ich weiß, dass Sinn des Artikels auch war/ist, eine Anlauf für Neulinge zu sein, die unbedingt eine Firewall installieren wollen, weil sie es bisher so gewohnt waren und ohne unter Umständen eigentlich richtig deren Funktionsweise zu kennen. Dennoch finde ich, dass der folgenden Absatz etwas "überspannt":

Das gilt natürlich nicht für echte Server. Wer sich Samba, ssh, apache, etc. auf dem Rechner installiert, der möchte im Allgemeinen den Zugriff von außen erlauben. Wer das nicht will (und bspw. den Apache-Webserver als Testumgebung für Webdesign nutzen möchte), der sollte die jeweiligen Konfigurationsmöglichkeiten nutzen, um die Server nur an die Loopback-Schnittstelle (127.0.0.1 bzw. ::1) zu binden. Das ist auch nicht schwieriger als eine "Firewall" zu installieren.

Ja, gut das stimmt soweit, wenn man einen Dienst nur ausprobieren will und dabei wirklich gar keinen Zugriff von außen will. Aber gerade wenn man Dienste testet, kann es IMO z.B. schon sinnvoll sein auch an einer tatsächlichen Netzwerkschnittstelle von außen ohne Loopback zu testen. Dann will ich aber den Zugriff von außen auf eine oder wenige IPs beschränken. Z.B. Samba als Active Directory Server würde ich vor Aufnahme als Produktiv-System so testen wollen.

Also insofern schießt die Formulierung IMO hier - wohlgemerkt nicht vollständig - aber doch etwas über das Ziel hinaus.

Ja, es ist immer richtiges Design zunächst die Konfigurationsmöglichkeiten des Dienstes zu nutzen, d.h. aber nicht, dass ein Paketfilter in Funktion der Beschränkung auf bestimmte IPs stets sinnloses Teufelszeug wäre und so kommt es bei der jetzigen Formulierung doch etwas herüber.

Danke!

LG, Newubunti

Newubunti schrieb:

[…] ein Frage habe ich noch - Abschnitt "Sicheres Design":

Ein Paketfilter kann den Schutz des Rechners hier nur dann verbessern, wenn man auf diese Dienste verzichtet. Dies ist aber besser zu erreichen, indem man diese Dienste erst gar nicht startet bzw. deren automatischen Start im Betriebssystem deaktiviert.

Da bin ich nicht ganz einverstanden mit.

Und warum bist Du damit nicht einverstanden? Im Kontext dieses Satzes werden die Dienste benannt, um die es hier (d.h. in diesem Satz) geht. Wie bitte sollen diese – unter der Voraussetzung, dass man sie benutzen möchte – durch ein Paketfilter besser zu schützen sein als ohne Paketfilter? Natürlich könnte man sie durch restriktive Filterregeln blockieren, aber das ist ja Unfug angesichts des Umstandes, dass man sie einfach deaktivieren kann, wenn man sie nicht benötigt. Und dies wird doch genau durch diese beiden Sätze ausgedrückt.

Oder was ist nun Deine angekündigte Frage?

Weiter unten unter "Wann ist ein Paketfilter doch sinnvoll?" steht es dann IMO dann richtig:

Richtig sinnvoll auf einem Einzelplatzrechner ist ein Paketfilter nur, wenn man nicht die Ports, sondern die Herkunft der Pakete einschränken will.

Und in diesem Kontext ist IMO ein Paketfilter auch im LAN immer sinnvoll

Nein, ein Paketfilter ist nicht immer (d.h. ohne Einschränkungen, ohne Voraussetzungen) sinnvoll. Er kann sogar selbst einen Angriffspunkt darstellen. Paketfilter sind immer auf die jeweilige konkrete Situation individuell zu konzipieren, dies ist die einzige generelle Aussage, welche über Paketfilter uneingeschränkt wahr ist.

bzw. kann er dort sinnvoll sein.

Ja, so etwas kann in manchen Situationen sinnvoll sein. Eine Standard-Installation eines Ubuntu-Desktops gehört nicht zu diesen Situationen. Wer seine Standard-Installation verändert, muss sich selbstverständlich selbst verantwortlich Gedanken über die Sicherheit seines Geräts machen. Ubuntu bietet dafür die Hilfsmittel.

Wie gesagt auch vor dem Hintergrund, dass ein LAN heute aus einem ganzen Zoo von Geräten bestehen kann. Dieser Aspekt fehlt aber IMO bei der Formulierung im Abschnitt "Sicheres Design".

Das ist Quatsch! Es geht in diesem Artikel nicht um LAN und schon gar nicht über den sicheren Aufbau eines solchen. Es geht um das "Sichere Design" eines Standard-Ubuntu-Desktops-Systems.

Wer sich selbst unkritisch ein unsicheres LAN bastelt, indem er all möglichen Geräte, die als Angreifer fungieren könnten, in sein LAN integriert, kann diesen Kardinalfehler überhaupt nicht mehr durch ein Paketfilter auf seinem Desktop beseitigen. "Personal Firewalls" setzen voraus, dass das Netzwerk, an dem sie direkt angeschlossen sind, selbst als sicher gelten darf. Diese Voraussetzung muss natürlich bereits über andere Maßnahmen realisiert sein.

Zum Abschnitt "Unsichtbar machen":

Dort steht noch der IMO fälschliche Satz:

Ein System, das keine Ports offen hat, wie ein Standard-Ubuntu-Desktop, hat keinen einzigen Grund, "unsichtbar" zu sein.

Was ist an diesem Satz falsch? Es geht im Kontext dieses Satzes um das sogenannte „Unsichtbar machen im Internet“. („im Internet“ könnte man der Überschrift noch hinzufügen, ist aber übertrieben, weil „Unsichtbar im (eigenen!) LAN“ völlig sinnlos ist.)

Eine Standard-Installation eines Ubuntu-Desktops hat keinen Port zum Internet offen, das ist nach wie vor richtig. Es gibt einige offene Ports für Multicast, das steht nun richtig im Artikel. Multicast funktioniert aber erst einmal nur im LAN und nicht über Router hinweg.

Ich weiß, dass Sinn des Artikels auch war/ist, eine Anlauf für Neulinge zu sein, die unbedingt eine Firewall installieren wollen, weil sie es bisher so gewohnt waren und ohne unter Umständen eigentlich richtig deren Funktionsweise zu kennen. Dennoch finde ich, dass der folgenden Absatz etwas "überspannt":

Das gilt natürlich nicht für echte Server. Wer sich Samba, ssh, apache, etc. auf dem Rechner installiert, der möchte im Allgemeinen den Zugriff von außen erlauben. Wer das nicht will (und bspw. den Apache-Webserver als Testumgebung für Webdesign nutzen möchte), der sollte die jeweiligen Konfigurationsmöglichkeiten nutzen, um die Server nur an die Loopback-Schnittstelle (127.0.0.1 bzw. ::1) zu binden. Das ist auch nicht schwieriger als eine "Firewall" zu installieren.

Und was bitte soll an diesem Hinweis an einen Desktop-Nutzer überspannt sein? Er wir nur darauf hingewiesen, dass die Verhältnisse bei Server eben anders sind als bei seinem Desktop. Wer seinen Desktop zum Server machen möchte, sollte dies klar sein: Er muss sich an anderer Stelle schlau machen. Eine "Personal Firewall" für Server ist Unfug. (Lies sorgfältig:! Der vorstehende Satz lautet nicht: „Eine Firewall für Server ist Unfug.“ )

Ja, gut das stimmt soweit, wenn man einen Dienst nur ausprobieren will und dabei wirklich gar keinen Zugriff von außen will. Aber gerade wenn man Dienste testet, kann es IMO z.B. schon sinnvoll sein auch an einer tatsächlichen Netzwerkschnittstelle von außen ohne Loopback zu testen. Dann will ich aber den Zugriff von außen auf eine oder wenige IPs beschränken. Z.B. Samba als Active Directory Server würde ich vor Aufnahme als Produktiv-System so testen wollen.

Ein "Active Directory Server" wäre also nach Deiner Meinung ein übliche Komponente für einen Desktop-Rechner?

Denke noch einmal nach!

Also insofern schießt die Formulierung IMO hier - wohlgemerkt nicht vollständig - aber doch etwas über das Ziel hinaus.

Ja, es ist immer richtiges Design zunächst die Konfigurationsmöglichkeiten des Dienstes zu nutzen, d.h. aber nicht, dass ein Paketfilter in Funktion der Beschränkung auf bestimmte IPs stets sinnloses Teufelszeug wäre und so kommt es bei der jetzigen Formulierung doch etwas herüber.

Der Tenor des Artikels ist „Ein "Personal Firewall" bei einem Standard-Ubuntu-Desktop ist überflüssig“. Der Artikel handeln nicht von Servern (abgesehen vom Hinweis, dass es bei diesen anders ist), er behandelt nicht Firewalls im Allgemeinen, er behandelt auch nicht Paketfilter im Allgemeinen und auch nicht die Realisierung solcher Paketfilter mit Linux.

Und ich halte den vorgefundenen, aber von mir nicht veränderten Tenor des Artikels für richtig.

Ich sehe auch nicht, dass sich der Artikel grundsätzlich gegen Firewalls oder gegen Paketfilter aussprechen würde. Das scheinst Du aber in den Artikel herein zu interpretieren.

Deshalb: Firewalls und Paketfilter sind grundsätzlich nützlich Werkzeuge, auch bei Ubuntu und werden deshalb auch an anderen Stellen im UbuntuUsers.de-Wiki behandelt und es spricht auch nichts gegen eine Verlinkung. Vorschläge?

@kb: Es wäre hilfreich, wenn Du hier nicht anfangen würdest, Halbsätze von mir aus dem Kontext zu nehmen und dann argumentativ isoliert zu zerlegen. Ich drücke mich mit Sicherheit nicht immer unmissverständlich aus, aber ich habe nicht umsonst auch noch Passagen markiert. D.h. auch nicht, dass es dann in Gänze an meinen Inhalten nichts zu kritisieren gäbe, aber einen Absatz könnte man schon auch mal im Zusammenhang lesen. Den Gesamt-Zusammenhang darf man dann gerne beliebig kritisieren.

Aber isolierte Halbsätze - ja, ist zwar nicht verboten - aber ermüdend. Danke!

Und auch noch ganz wichtig: Mir ist bewusst, dass Du einen vorgefundenen Artikel - für den Du inhaltlich nichts kannst - vorgefunden und überarbeitet hast. Ich gehe daher nicht davon aus, dass die von mir bemängelten Punkte auf Dich zurückzuführen sind, sondern ich weiß, dass es einem bei einer Überarbeitung leicht passieren kann Unstimmigkeiten, die noch in den vorhanden Artikel-Teilen stecken, zu übersehen.

Ich lese hier einfach nur Korrektur und mache auf diese Unstimmigkeiten aufmerksam. Nicht mehr und nicht weniger! Danke!

kB schrieb:

Das ist Quatsch! Es geht in diesem Artikel nicht um LAN und schon gar nicht über den sicheren Aufbau eines solchen. Es geht um das "Sichere Design" eines Standard-Ubuntu-Desktops-Systems.

Nein, das überhaupt kein Quatsch! Das ist heute ein bei Nicht-Computer-Experten häufig anzutreffendes Szenario. Du gehst weiter oben im Artikel davon aus und bemisst die Gefahr daran, dass der Ubuntu-Desktop heute in der Regel hinter einem Router und damit in einem LAN sitzt.

Vor 10 Jahren bestand so ein Durchschnitts-Anwender-LAN dann aus zwei Rechnern und einem Netzwerkdrucker und vielleicht noch einem NAS. Da hätte ich Dir uneingeschränkt Recht gegeben. Heute tummeln sich im Durchschnitts-Anwender-LAN ein ganzer Haufen von Geräten.

Ja, wenn möglich packt man die in ein eigenes LAN oder unterbindet die Kommunikation zwischen den Geräten, wenn der Router das erlaubt. Aber nicht jeder Router erlaubt so etwas.

Also erzähle ich hier nicht irgend einen ausgedachten Quatsch, sondern bemesse den Artikel mit seinem Inhalt an einem zumindest nicht völlig aus der Luft gegriffenen und häufiger als Du denkst anzutreffenden Real-Live-Szenario.

Was ist an diesem Satz falsch? Es geht im Kontext dieses Satzes um das sogenannte „Unsichtbar machen im Internet“. („im Internet“ könnte man der Überschrift noch hinzufügen, ist aber übertrieben, weil „Unsichtbar im (eigenen!) LAN“ völlig sinnlos ist.)

Füge es dann bitte hinzu. Aus dem gesamten Artikel-Kontext ergibt sich das so, wie Du es nun erklärt hast, nicht. Danke!

Der Kontext des Artikels ist und sollte IMO heute auch sein: LAN hinter Internet-Router. Und dieser Kontext sollte sich dann auch schlüssig von Anfang bis zum Ende durchziehen.

Und was bitte soll an diesem Hinweis an einen Desktop-Nutzer überspannt sein?

Soll das heißen, der folgende markierte Teil, sollte sich alleine auf ein Desktop-Rechner beziehen? Denn ich beziehe den markieren Teil noch auf den den Absatz einleitenden Satz "Das gilt natürlich nicht für echte Server.":

Das gilt natürlich nicht für echte Server. Wer sich Samba, ssh, apache, etc. auf dem Rechner installiert, der möchte im Allgemeinen den Zugriff von außen erlauben. Wer das nicht will (und bspw. den Apache-Webserver als Testumgebung für Webdesign nutzen möchte), der sollte die jeweiligen Konfigurationsmöglichkeiten nutzen, um die Server nur an die Loopback-Schnittstelle (127.0.0.1 bzw. ::1) zu binden. Das ist auch nicht schwieriger als eine "Firewall" zu installieren.

Mein Vorschlag diesbezüglich wäre ein entsprechend eindeutiger Hinweis am Anfang des Artikels:

Dieser Artikel gilt alleine für die Betrachtung eines Standard-Ubuntu-Desktops. Für Server gilt <LINK>

Und dann aber anschließend auch nichts mehr über Server verlieren.

Ein "Active Directory Server" wäre also nach Deiner Meinung ein übliche Komponente für einen Desktop-Rechner?

Nein, für mich nicht aber Du wirst Dich wundern:

https://wiki.ubuntuusers.de/Archiv/Howto/Samba4_als_Domaincontroller/:

Diese Howto-Anleitung wurde zuletzt von luftpump am 23.03.2017 unter Xubuntu 16.04.01 LTS erfolgreich getestet.

Danke!

LG, Newubunti

Newubunti schrieb:

Vor 10 Jahren bestand so ein Durchschnitts-Anwender-LAN dann aus zwei Rechnern und einem Netzwerkdrucker und vielleicht noch einem NAS. Da hätte ich Dir uneingeschränkt Recht gegeben. Heute tummeln sich im Durchschnitts-Anwender-LAN ein ganzer Haufen von Geräten.

Ja, wenn möglich packt man die in ein eigenes LAN oder unterbindet die Kommunikation zwischen den Geräten, wenn der Router das erlaubt. Aber nicht jeder Router erlaubt so etwas.

Sowas kann ein Router im Normalfall gar nicht machen. Bei IPv4 ist das eigene Netz als "direkt verbunden" in der Routingtabelle und damit gehen die Pakete direkt an die MAC-Adresse vom Empfänger ohne Umweg über den Router. Bei IPv6 ähnlich. Da gibt es zwar bestimmte (daheim seltene) Situationen, wo ein Gerät nicht weiß, dass ein IPv6-Netz auf dem gleichen Link ist und dann den Umweg über den Router geht, aber darauf darf man sich keinenfalls verlassen. Klar ist: Geräte, die auf dem gleichen Link sind, können sich untereinander erreichen. Will man das nicht, bietet man auf seinem Rechner erst gar keine lauschenden Dienste an. Die Art oder die Anzahl der Geräte ändert daran exakt gar nichts.

Newubunti schrieb:

[…] Nein, für mich nicht aber Du wirst Dich wundern:

https://wiki.ubuntuusers.de/Archiv/Howto/Samba4_als_Domaincontroller/:

Diese Howto-Anleitung wurde zuletzt von luftpump am 23.03.2017 unter Xubuntu 16.04.01 LTS erfolgreich getestet.

Ein archiviertes Howto. Was gibt es darin zu bewundern? Es ist weder verboten noch ungeschickt, ein Desktop-Betriebssystem zu nehmen und daraus einen Server zu basteln. Nur hat man dann eben keinen typischen Desktop-Rechner mehr, sondern einen Server mit Desktop-Oberfläche. Das kann ganz praktisch sein, MS Windows macht es sogar standardmäßig.

DJKUhpisse schrieb:

Sowas kann ein Router im Normalfall gar nicht machen. Bei IPv4 ist das eigene Netz als "direkt verbunden" in der Routingtabelle und damit gehen die Pakete direkt an die MAC-Adresse vom Empfänger ohne Umweg über den Router.

Ja, aber es bedarf lediglich einer einzigen Regel auf jedem Gerät im LAN und schon können die Geräte im LAN, nur noch mit dem Router kommunizieren und nicht mehr untereinander auf der Schicht >/= 3 kommunizieren (... Schicht 2/arp geht noch). Z. B.:

sudo iptables -I INPUT 1 -t security -i <Interface> ! -s <IP-Adresse-Router> -m mac ! --mac-source <MAC-Adresse-Router> -j DROP

(oder gleichwertig).

Newubunti schrieb:

Füge es dann bitte hinzu

Getan.

[…] ein entsprechend eindeutiger Hinweis am Anfang des Artikels

Auch getan.

lubux schrieb:

[…] es bedarf lediglich einer einzigen Regel auf jedem Gerät im LAN und schon können die Geräte im LAN, nur noch mit dem Router kommunizieren und nicht mehr untereinander

Falsch. Um dieses Ziel zu erreichen, benötigt man gar keine Regel für Netfilter. Sondern man kann es alleine über das Routing erledigen, was effektiver und sparsamer als ein Paketfilter ist. Aber Tricks zu Paketfiltern sind in der Diskussion des Artikels sachfremd!

Um dieses Ziel zu erreichen, benötigt man gar keine Regel für Netfilter. Sondern man kann es alleine über das Routing erledigen, was effektiver und sparsamer als ein Paketfilter ist.

Wie soll das gehen? Die Gegenseite kann noch immer direkt an die MAC-Adresse des eigenen Rechners schicken. Die Antworten würden dann aber über den Router gehen.